search
Das Medium für diejenigen, die das Unternehmen neu erfinden
Software anbieten

DSGVO Compliant: Wie schützen Sie die personenbezogenen Daten Ihres Unternehmens?

DSGVO Compliant: Wie schützen Sie die personenbezogenen Daten Ihres Unternehmens?

Von Jennifer Montérémal

Am 28. Oktober 2024

Personenbezogene Daten, EU-Normen, ausdrückliche Zustimmung... Da kommt jeder ins Schwitzen, der die gesetzlichen Regeln für ein unentzifferbares Rätsel hält 📚🤔.

Keine Panik: hier sind unsere Tipps, die Ihnen helfen, RGPD Compliant zu werden. Spoiler: Compliance ist keine Last, sondern ein echter Wachstumshebel!

Schritt 1: Führen Sie ein RGPD-Compliant-Verzeichnis der Datenverarbeitung.

Das Datenverarbeitungsverzeichnis ist ein Dokument zur Analyse und Erfassung personenbezogener Daten innerhalb des Unternehmens, einschließlich der Daten, die in den Zuständigkeitsbereich der für die Verarbeitung Verantwortlichen und der Auftragsverarbeiter fallen.

Auf diese Weise stellen Sie fest, wer zu welchem Zweck Zugriff auf die Daten hat.

Sammeln Sie Details zu jeder Verarbeitungstätigkeit RGPD Compliant.

Die in diesem Register gesammelten Daten konzentrieren sich insbesondere auf :

  • den Zweck jeder Verarbeitungsaktivität;
  • die Kategorien der verarbeiteten personenbezogenen Daten;
  • die Empfänger der Daten;
  • Datenübermittlungen außerhalb der EU;
  • die ergriffenen Sicherheitsmaßnahmen.

☝️ Beachten Sie, dass die Allgemeine Datenschutzverordnung (DSGVO) vorschreibt, dass Sie dieses Verzeichnis auf dem neuesten Stand halten und den Behörden zur Verfügung stellen müssen. Sein Format muss verständlich und im Falle eines Antrags auf Einsichtnahme leicht zugänglich sein.

Die obligatorischen Informationen, die in das Register eingetragen werden müssen

Das RGPD Compliant Register enthält detaillierte Informationen über jede vom Unternehmen durchgeführte Tätigkeit zur Verarbeitung personenbezogener Daten. Nach Angaben der Commission nationale de l'informatique et des libertés (CNIL) muss es Folgendes enthalten:

  • die Kontaktdaten des für die Verarbeitung Verantwortlichen (RT) sowie des Datenschutzbeauftragten (DSB), falls das Unternehmen einen DSB ernennt ;
  • Eine genaue und detaillierte Beschreibung der Gründe für die Datenverarbeitung;
  • Kategorien der verarbeiteten personenbezogenen Daten;
  • Kategorien von Personen, die von diesen Verarbeitungen betroffen sind;
  • Empfänger oder Kategorien von Empfängern der Daten ;
  • etwaige Datenübermittlungen in Drittländerund die Garantien für diese Übermittlungen ;
  • die Dauer der Datenspeicherung, die den gesetzlichen Anforderungen entspricht ;
  • die technischen und organisatorischen Prozesse, die eingerichtet wurden, um die Sicherheit zu gewährleisten und die Risiken einer Beeinträchtigung der Grundfreiheiten zu begrenzen.

💡 Sie sollten wissen, dass Vorlagen für Tätigkeitsregister von der CNIL, den Industrie- und Handelskammern (CCI) oder dem Regierungsportal France Num zur Verfügung gestellt werden. Sie können sich auch auf spezialisierte Tools stützen.

Zum Beispiel mit Witik, einer Plattform zur Einhaltung der DSGVO, erstellen Sie mit nur wenigen Klicks auf Ihre Besonderheiten zugeschnittene Register auf der Grundlage einer von einer erfahrenen Anwaltskanzlei konzipierten und durchdachten Basis. Darüber hinaus unterstützt Sie die Software auch bei anderen Aspekten Ihres RGPD Compliant: Durchführung von Audits, Verwaltung von Einwilligungen, Datensicherheit, etc.

Schritt 2: Sortieren und kategorisieren Sie personenbezogene Daten, um die Einhaltung der DSGVO zu gewährleisten.

Die DSGVO verlangt Transparenz und Konformität bei der Verarbeitung personenbezogener Daten. Um dies zu erreichen, müssen Sie alle Verarbeitungsaktivitäten identifizieren und diese dann sortieren und kategorisieren.

Einerseits stellen Sie so sicher, dass Sie die DSGVO einhalten, und verringern die Gefahr von Verwechslungen bei Kontrollen, die von der CNIL oder anderen zuständigen Behörden begleitet werden. Andererseits verbessern Sie die Erhebung, Nutzung, Aufbewahrung und den Schutz der personenbezogenen Daten der Nutzer.

Die verschiedenen Arten von sensiblen Daten

Die DSGVO unterscheidet zwischen gewöhnlichen personenbezogenen Daten und sensiblen Daten. Bei letzteren handelt es sich um Informationen über :

  • Gesundheit ;
  • ethnische Herkunft ;
  • politische Meinungen ;
  • religiöse Überzeugungen ;
  • sexuelle Neigungen ;
  • und andere Aspekte des Privatlebens einer Person.

Die DSGVO verbietet die Verarbeitung dieser Daten, es sei denn, sie ist durch eine spezifische Rechtsgrundlage gerechtfertigt, wie z. B. die ausdrückliche Zustimmung der betroffenen Person, oder wenn sie zum Schutz ihrer lebenswichtigen Interessen erforderlich ist.

👉 Vor der Verarbeitung sensibler Daten sollte die Zustimmung der Nutzer eingeholt werden, und es sollten zusätzliche Sicherheitsmaßnahmen ergriffen werden, um den Schutz dieser Daten zu gewährleisten.

Methoden zur Sortierung und Aufbewahrung von Daten RGPD Compliant.

Zur Unterstützung der Unternehmen bietet das Portal France Num ein Klassifizierungsmodell an, das auf dem Grad der Sensibilität der Daten basiert:

  • Stufe 1: Daten, die keinen besonderen sensiblen Charakter haben. Bsp: berufliche Kontaktdaten;
  • Stufe 2: Daten, die ein mäßiges Sicherheitsrisiko darstellen. Bsp.: Transaktionsdaten (Bestellnummer, Betrag, Datum usw.);
  • Stufe 3: Sensible Daten, die ein hohes Risiko für die betroffenen Personen darstellen. Bsp.: Finanzdaten wie die Kreditkartennummer.

Je höher die Stufe, desto mehr Aufmerksamkeit und Schutz erfordert ihre Verarbeitung.

Es ist auch zwingend erforderlich, für jede Art von Daten angemessene Aufbewahrungsfristen festzulegen, je nachdem, wie lange es dauert, bis der ursprüngliche Zweck, für den die Daten gesammelt wurden, erreicht ist. Nach Ablauf dieses Zeitraums müssen sie sicher gelöscht werden.

Schritt 3: Sicherstellen und erleichtern Sie die Ausübung der Nutzerrechte.

Die Einhaltung der DSGVO durch Ihr Unternehmen setzt voraus, dass die individuellen Rechte der Nutzer in Bezug auf personenbezogene Daten respektiert werden.

Die individuellen Rechte im Mittelpunkt des DSGVO-Compliant.

Nutzer haben das Recht, Zugang, Berichtigung, Löschung und Übertragbarkeit ihrer personenbezogenen Daten zu verlangen. Sie können sich auch der Verarbeitung ihrer Daten widersetzen oder diese einschränken.

Was sind die wichtigsten individuellen Rechte?

  • Das Recht auf Zugang bedeutet, dass der Nutzer das Unternehmen um die personenbezogenen Daten bitten kann, die es über ihn gespeichert hat. Wenn diese Daten falsch oder ungenau sind, kann der Nutzer verlangen, dass sie berichtigt oder aktualisiert werden.

  • Das Recht auf Löschung personenbezogener Daten ermöglicht es dem Nutzer, das Unternehmen aufzufordern, diese Daten unter bestimmten Umständen zu löschen, z. B. wenn sie unrichtig oder unnötig sind oder wenn der Nutzer seine Zustimmung zurückzieht.

  • Das Recht auf Datenübertragbarkeit gibt dem Nutzer das Recht, seine persönlichen Daten von einem Unternehmen zu einem anderen zu übertragen.

✅ Die vollständige Liste der Rechte finden Sie auf der Website der CNIL.

Sie haben maximal 30 Tage Zeit, um auf Anfragen von Nutzern zu reagieren.

Führen Sie klare Verfahren ein.

Damit Nutzer ihre Rechte in Bezug auf personenbezogene Daten ausüben können, müssen Sie :

  • die Authentizität der Anfrage und die Vertraulichkeit der übermittelten Informationen sicherstellen ;
  • schnelle Prozesse einrichten, um auf Anfragen zur Ausübung dieser Rechte zu reagieren.

Um Unternehmen bei diesem Prozess zu unterstützen, bietet die CNIL einen umfassenden Leitfaden in vier Schritten an, um die Besonderheiten der Rechte von Personen besser zu verstehen. Zu diesen Empfehlungen gehören :

  • die Einrichtung von Tabellen zur Überwachung der Anträge ;
  • die Entwicklung von Prozessen zur Kontrolle und Validierung von Anträgen ;
  • Schulungen für Mitarbeiter, um diese Anträge besser zu verstehen.

Schritt 4: Daten sichern und Risiken vorbeugen

Die Sicherheit personenbezogener Daten ist eine grundlegende Anforderung, um RGPD Compliant zu sein. Indem sie für einen angemessenen Datenschutz sorgen, minimieren die Unternehmen das Risiko, dass die Rechte und Freiheiten der betroffenen Personen verletzt werden.

Die Sicherheitspflichten unter der DSGVO

Die Einhaltung der DSGVO bedeutet, dass geeignete Sicherheitsmaßnahmen ergriffen werden müssen, um den Schutz personenbezogener Daten zu gewährleisten.

Sie müssen daher :

  1. Die Risiken für die Daten identifizieren ;
  2. Die Integrität und Qualität der personenbezogenen Daten während der gesamten Verarbeitung gewährleisten (regelmäßige Überprüfungen, Sicherheitsaudits usw.) ;
  3. Reaktionspläne für den Fall eines Vorfalls vorbereiten (Mechanismen zur Erkennung von Eindringlingen usw.) ;
  4. Sicherstellen, dass nur befugte Personen Zugriff auf personenbezogene Daten haben, indem Sie starke Authentifizierungsmechanismen verwenden (starke Passwörter, biometrische Systeme, verschlüsselte Daten usw.) ;
  5. Melden Sie jeden möglichen Vorfall sofort der CNIL.

☝️ Merken Sie sich, dass die Nichteinhaltung der DSGVO-Vorschriften mit (sehr) hohen Geldstrafen verbunden ist und bis zu 4 % des Jahresumsatzes eines Unternehmens oder 20 Millionen Euro betragen kann, je nachdem, welcher Betrag höher ist.

Die Sanktionen richten sich nach der Schwere des Verstoßes und reichen von einer Verwarnung über die Aussetzung oder den Entzug der Gewerbeerlaubnis, Anordnungen zur Einstellung der betreffenden Datenverarbeitungen usw. bis hin zur Entschädigung der betroffenen Personen.

Bewährte Praktiken zur Sicherung von Daten

Hier sind einige der besten Praktiken, die Sie anwenden sollten, um RGPD Compliant zu werden:

  • Führen Sie eine Risikobewertung durch, um die Schwachstellen Ihres Systems sowie die potenziellen Auswirkungen eines Sicherheitsvorfalls zu ermitteln ;

  • Ernennen Sie einen Datenschutzbeauftragten, der für die Verwaltung personenbezogener Daten und die Einhaltung der DSGVO verantwortlich ist ;

  • Setzen Sie Datenschutzrichtlinien ein, die angeben, wie personenbezogene Daten verwaltet, verarbeitet und gespeichert werden ;

  • Sensibilisieren Sie die Mitarbeiter für bewährte Verfahren und Datenschutzbestimmungen ;

  • Überprüfen Sie, ob die Richtlinien und Verfahren des Unternehmens den DSGVO-Vorschriften entsprechen (u. a. durch Compliance-Audits);

  • Überwachen Sie Benutzerkonten mit potenziellen Risiken, z. B. solche mit Zugang zu kritischen personenbezogenen Daten des Unternehmens, und führen Sie zusätzliche Schutzmaßnahmen ein (Zugangskontrolle, Datenverschlüsselung usw.) ;

  • Sichern Sie alle personenbezogenen Daten regelmäßig , damit die Informationen nicht verloren gehen.

Im Falle eines nachgewiesenen oder vermuteten Verstoßes können Sie verpflichtet sein, die zuständigen Behörden und potenziell betroffene Nutzer innerhalb der nächsten 72 Stunden zu benachrichtigen.

Die wichtigsten Punkte, um RGPD Compliant zu sein.

Die Allgemeine Datenschutzverordnung (DSGVO) legt strenge Standards für den Schutz der Privatsphäre und personenbezogener Daten fest. In diesem Sinne bedeutet RGPD Compliant zu sein, Transparenz, Verantwortlichkeit und Kontinuität beim Datenschutz.

Auch wenn sie einschränkend erscheinen, ermöglichen die Datenschutzmaßnahmen eine bessere Nutzererfahrung und gewährleisten den Schutz der Privatsphäre der Nutzer.

Software zur Einhaltung der DSGVO kann diese Einhaltung erleichtern. Sie ermöglichen es Ihnen, die persönlichen Daten Ihrer Kunden zu schützen und gleichzeitig in einer sicheren Umgebung zu arbeiten.

Artikel übersetzt aus dem Französischen